亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

注冊(cè)表刪除數(shù)據(jù)恢復(fù)方法與流程

文檔序號(hào):12120313閱讀:1691來(lái)源:國(guó)知局

本發(fā)明涉及數(shù)據(jù)安全技術(shù),具體涉及系統(tǒng)注冊(cè)表數(shù)據(jù)恢復(fù)技術(shù)。



背景技術(shù):

注冊(cè)表相當(dāng)于Windows系統(tǒng)中所有32位硬件/驅(qū)動(dòng)和32位應(yīng)用程序的數(shù)據(jù)文件,是一個(gè)系統(tǒng)信息的數(shù)據(jù)庫(kù)。Windows的注冊(cè)表文件在系統(tǒng)設(shè)置和缺省用戶配置數(shù)據(jù)的情況下,是存放在\系統(tǒng)文件夾\SYSTEM32\CONFIG目錄下的多個(gè)文件。文件內(nèi)容如下:

SYSTEM:存儲(chǔ)計(jì)算機(jī)硬件和系統(tǒng)的信息;

NTUSER.DAT:存儲(chǔ)用戶參數(shù)選擇的信息(此文件放置于用戶個(gè)人目錄,和其他注冊(cè)表文件是分開(kāi)的);

SAM:用戶及密碼的數(shù)據(jù)庫(kù);

SECURITY:安全性設(shè)置信息;

SOFTWARE:安裝的軟件信息;

DEFAULT:缺省啟動(dòng)用戶的信息;

USERDIFF:管理員對(duì)用戶強(qiáng)行進(jìn)行的設(shè)置。

注冊(cè)表由多個(gè)HIVE文件組成。一個(gè)HIVE文件由多個(gè)巢箱(BIN)組成,HIVE文件的首部有一個(gè)文件頭(基本塊、base block),用于描述這個(gè)HIVE文件的一些全局信息。一個(gè)BIN由多個(gè)巢室(CELL)組成,CELL可以分為具體的5種,用于存儲(chǔ)不同的注冊(cè)表數(shù)據(jù)。

目前針對(duì)注冊(cè)表數(shù)據(jù)恢復(fù)方法,主要是針對(duì)Hive文件被刪除的情況下進(jìn)行數(shù)據(jù)恢復(fù),當(dāng)Hive文件收到破壞時(shí),恢復(fù)出該文件的部分?jǐn)?shù)據(jù)。

再者,現(xiàn)有的恢復(fù)技術(shù)是當(dāng)注冊(cè)表文件被刪除時(shí),其實(shí)是采用針對(duì)文件特征的刪除恢復(fù)技術(shù),找出沒(méi)有被清空的部分文件數(shù)據(jù),對(duì)文件數(shù)據(jù)進(jìn)行還原。但是現(xiàn)有的注冊(cè)表刪除文件恢復(fù)技術(shù)無(wú)法針對(duì)注冊(cè)表中刪除的鍵值數(shù)據(jù)進(jìn)行恢復(fù)。



技術(shù)實(shí)現(xiàn)要素:

針對(duì)現(xiàn)有注冊(cè)表刪除文件恢復(fù)技術(shù)無(wú)法針對(duì)注冊(cè)表中刪除的鍵值數(shù)據(jù)進(jìn)行恢復(fù)的問(wèn)題,本發(fā)明的目的在于提供一種針對(duì)注冊(cè)表中被刪除的鍵值數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù)的方案。

為了達(dá)到上述目的,本發(fā)明采用如下的技術(shù)方案:

提供一種注冊(cè)表刪除數(shù)據(jù)恢復(fù)方法,該恢復(fù)方法掃描注冊(cè)表的HIVE文件,識(shí)別注冊(cè)表中所有的被刪除鍵值,再通過(guò)子鍵找到其所屬的父鍵,然后連接成數(shù)據(jù)鏈表。

優(yōu)選的,所述恢復(fù)方法中采用底層讀取文件的方式,自行解析文件系統(tǒng),查找注冊(cè)表文件,并以字節(jié)流的方式讀入注冊(cè)表文件數(shù)據(jù)。

優(yōu)選的,所述的自行解析文件系統(tǒng)通過(guò)繞過(guò)操作系統(tǒng)讀寫(xiě)文件的方式,從底層按照以扇區(qū)為單位讀取磁盤(pán),然后根據(jù)分區(qū)表,文件系統(tǒng)類型,自行將二進(jìn)制數(shù)據(jù)解析成文件系統(tǒng)。

優(yōu)選的,所述恢復(fù)方法中根據(jù)HIVE格式標(biāo)準(zhǔn)解析文件。

優(yōu)選的,開(kāi)始掃描整個(gè)HIVE文件,每次讀取一個(gè)巢室,根據(jù)巢室頭確定該巢室大小,并且判斷該巢室是否已被刪除;

解析被刪除的巢室,構(gòu)造一個(gè)巢室對(duì)象,依次獲取注冊(cè)表鍵值的元數(shù)據(jù),將該鍵值加入到已刪除列表中;

最后直到整個(gè)HIVE文件掃描完畢,找出所有的刪除鍵值。

優(yōu)選的,所述恢復(fù)方法中通過(guò)識(shí)別的被刪除鍵值的父鍵索引找到子建的父鍵,最后逆序鏈接起來(lái),形成一個(gè)樹(shù)形的注冊(cè)表。

本發(fā)明提供的注冊(cè)表刪除數(shù)據(jù)恢復(fù)方法,其針對(duì)在注冊(cè)表文件沒(méi)有被刪除,而是其中保存的鍵值數(shù)據(jù)被刪除的情況,對(duì)注冊(cè)表中的刪除數(shù)據(jù)進(jìn)行恢復(fù);并不是針對(duì)文件整個(gè)被刪除的情況下進(jìn)行數(shù)據(jù)恢復(fù),使用場(chǎng)景不一樣。

通過(guò)本恢復(fù)方法可以恢復(fù)出注冊(cè)表HIVE文件中刪除的鍵值數(shù)據(jù),有效解決現(xiàn)有恢復(fù)技術(shù)只能夠針對(duì)Hive文件被刪除的情況下進(jìn)行數(shù)據(jù)恢復(fù)的問(wèn)題。

再者,因?yàn)樽?cè)表文件被刪除的情況很少發(fā)生,往往都是文件中的鍵值數(shù)據(jù)被刪除,故本發(fā)明提供的恢復(fù)方案使用場(chǎng)景更多,實(shí)用性廣,使用本方案將對(duì)取證工作有很大幫助。

具體實(shí)施方式

為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解,下面結(jié)合具體實(shí)例,進(jìn)一步闡述本發(fā)明。

用戶在使用操作系統(tǒng)時(shí),一些使用痕跡,包括U盤(pán)插拔記錄,這些數(shù)據(jù)都保存在注冊(cè)表文件中,當(dāng)用戶在刪除軟件,或者通過(guò)注冊(cè)表API刪除鍵值時(shí)這些數(shù)據(jù)會(huì)被刪除。這些數(shù)據(jù)被刪除后,并沒(méi)有被真正清空,而是做了刪除標(biāo)記,標(biāo)識(shí)這塊數(shù)據(jù)已被刪除,當(dāng)有新數(shù)據(jù)寫(xiě)入時(shí)這塊數(shù)據(jù)區(qū)域有可能被覆蓋。

在上述情況下,需要恢復(fù)刪除數(shù)據(jù)進(jìn)行取證時(shí),由于本身注冊(cè)表文件并沒(méi)有被刪除,若采用傳統(tǒng)基于文件的刪除恢復(fù)方法將無(wú)法恢復(fù)被刪除的注冊(cè)表鍵值數(shù)據(jù),該方法無(wú)法應(yīng)用于這個(gè)場(chǎng)景。

本實(shí)例通過(guò)采用針對(duì)注冊(cè)表中被刪除的鍵值數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù)的方案,把用戶通過(guò)操作系統(tǒng)API刪除的注冊(cè)表數(shù)據(jù)進(jìn)行恢復(fù),找到用戶以前的使用痕跡,達(dá)到取證數(shù)據(jù)更加完善的目的。

本實(shí)例在針對(duì)注冊(cè)表中被刪除的鍵值數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù)時(shí),采用掃描的方法,找到注冊(cè)表中所有的被刪除的鍵值數(shù)據(jù),然后采用逆序排列的方法,通過(guò)子鍵找到它所屬的父鍵,然后連接成數(shù)據(jù)鏈表即注冊(cè)表,達(dá)到恢復(fù)數(shù)據(jù)的目的。

基于上述原理,本實(shí)例針對(duì)注冊(cè)表中被刪除的鍵值數(shù)據(jù)進(jìn)行數(shù)據(jù)恢復(fù)的具體過(guò)程如下:

(一)查找注冊(cè)表文件。

本實(shí)例中采用底層讀取文件的方式,自己解析文件系統(tǒng),以找到\SYSTEM32\CONFIG目錄下的注冊(cè)表文件(即HIVE文件),以字節(jié)流的方式讀入文件數(shù)據(jù)。

在查找注冊(cè)表文件時(shí),如果通過(guò)操作系統(tǒng)文件API訪問(wèn)注冊(cè)表文件,會(huì)出現(xiàn)系統(tǒng)注冊(cè)表文件無(wú)法讀取的問(wèn)題,權(quán)限不夠。本實(shí)例中通過(guò)自己解析文件系統(tǒng),則能夠解決該問(wèn)題。

這里的自己解析文件系統(tǒng)就是繞過(guò)操作系統(tǒng)讀寫(xiě)文件的方式,從底層按照以扇區(qū)為單位讀取磁盤(pán),然后根據(jù)分區(qū)表,文件系統(tǒng)類型,自己把二進(jìn)制數(shù)據(jù)解析成文件系統(tǒng),相當(dāng)于自己完成文件系統(tǒng)的解析(如NTFS),然后定位到注冊(cè)表文件進(jìn)行恢復(fù)。如果調(diào)用操作系統(tǒng)提供的api讀取注冊(cè)表文件,會(huì)出現(xiàn)系統(tǒng)注冊(cè)表文件無(wú)法讀取的情況。

(二)解析HIVE文件格式,找到所有被刪除的鍵。

由于一個(gè)HIVE文件由多個(gè)巢箱(BIN)組成,HIVE文件的首部有一個(gè)文件頭(基本塊、base block),用于描述這個(gè)HIVE文件的一些全局信息,一個(gè)BIN由多個(gè)巢室(CELL)組成。巢箱的結(jié)構(gòu)是通過(guò)一些鏈接建立起來(lái)的,這些鏈接稱為巢室索引(cell index)。每個(gè)巢室索引是一個(gè)巢室在巢箱文件中的偏移。因此,巢室索引就像是一個(gè)指針,從一個(gè)巢室指向另一個(gè)巢室。

因此,假設(shè)若想找到子鍵A,并且A的父鍵是B,那么必須先找到父鍵B,然后利用父鍵B的巢室中的子鍵列表巢室索引,找到包含父鍵B的所有子鍵列表的那個(gè)巢室,然后再利用該子鍵列表巢室中的巢室索引列表,找到父鍵B的每個(gè)子鍵的巢室,隨即找到子鍵A。

但是假設(shè)子建A已經(jīng)被刪除,數(shù)據(jù)在刪除后父鍵B的子鍵列表中已經(jīng)不含有子建A的地址,所以通過(guò)父鍵B已經(jīng)無(wú)法找到子鍵A。但是子鍵A目前任然存儲(chǔ)在HIVE文件中,而且子鍵A中保存有父鍵B的地址鏈接。

據(jù)此,本實(shí)例中解析掃描HIVE文件,找到所有被刪除的鍵的過(guò)程如下:

首先以流的方式讀入注冊(cè)表文件(HIVE文件),根據(jù)HIVE文件格式標(biāo)準(zhǔn)解析。開(kāi)始掃描整個(gè)HIVE文件,每次讀取一個(gè)巢室,根據(jù)巢室頭確定該巢室大小,并且判斷該巢室是否已被刪除;解析被刪除的巢室,構(gòu)造一個(gè)巢室對(duì)象,依次獲取標(biāo)志位、時(shí)間戳、父鍵索引、值列表、鍵名稱等注冊(cè)表鍵值元數(shù)據(jù),將該鍵值加入到已刪除列表中。

最后直到整個(gè)文件掃描完畢,找出所有的刪除鍵值。

(三)恢復(fù)注冊(cè)表。

再掃描整個(gè)HIVE文件,找到所有被刪除的鍵后,通過(guò)被刪除的鍵的父鍵索引找到子建的父鍵,最后逆序鏈接起來(lái),形成一個(gè)樹(shù)形的注冊(cè)表。

因?yàn)閿?shù)據(jù)被刪除后已經(jīng)不能從父鍵找到子鍵,本實(shí)例中采用一種逆序的方法,針對(duì)識(shí)別處所有被刪除的鍵,通過(guò)子鍵找到它所屬的父鍵,并進(jìn)行逆序鏈接形成一個(gè)樹(shù)形的注冊(cè)表。

通過(guò)上述實(shí)例可知,本注冊(cè)表刪除數(shù)據(jù)恢復(fù)方法可以恢復(fù)出注冊(cè)表HIVE文件中刪除的鍵值數(shù)據(jù),應(yīng)用范圍廣,特別對(duì)取證工作有很大幫助。

以上顯示和描述了本發(fā)明的基本原理、主要特征和本發(fā)明的優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制,上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會(huì)有各種變化和改進(jìn),這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等效物界定。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1